Webアプリスキャナの性能

Security 10月 24, 2007
(Last Updated On: )

NTOSpider, AppScan, WebInspectとメジャーなWebアプリスキャナの性能を比較した方がいるようです。結果のPDFは以下のURLです。

クリックしてCoverageOfWebAppScanners.pdfにアクセス

Forty Tracerを使ってスキャン中のコード実行カバレッジを利用してアプリケーションスキャナの性能を評価しています。

結論はNTOSpiderがダントツの性能のようです。AppScan、WebInspectは同じ程度となったようです。いずれにせよWebアプリスキャナは「セキュリティを維持」する為のツールではなく「最低限のセキュリティが維持できているかチェック」する為のツールなので多少の性能差ならそれほど気にする必要はないでしょう。しかし、多少と言える性能差ではないのでIBMとHPには頑張ってもらいたい所です。

J2EEアプリが対象との事ですが脆弱性だらけ(NTOSpiderは200以上の脆弱性を見つけている)と判定されたOpenCMSとはどれの事なのでしょうね?

http://www.opencms.jp/

なのは確かだと思いますが、どのバージョンを使ったか書いていないようです。

ちなみにSecuniaのデータベースだとOpenCMSにはそれほど脆弱性が登録されていません。

http://secunia.com/product/6531/?task=advisories

単純に誰もセキュリティチェックしていないだけなのかも知れません。Javaアプリなので個人が気軽にCMS、といった形でなく企業が使っている可能性が高いと思われます。使っている方は念のために自分でチェックした方が良いかも知れません。

# JSPWikiといい、Javaベースのアプリにも問題が多い予感がします。

投稿者: yohgaki